Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

検出されたランサムウェアに関するアラートに対応

共同作成者
PDF

BlueXPのランサムウェア対策で攻撃の可能性が検出されると、BlueXPのランサムウェア対策ダッシュボードと右上のBlueXP通知にランサムウェア攻撃の可能性を示すアラートが表示されます。また、サービスはすぐにSnapshotコピーの作成を開始します。この時点で、BlueXPのランサムウェア対策*アラート*タブで潜在的なリスクを確認する必要があります。

誤検出を却下することも、データをすぐに回復することもできます。

ヒント アラートを却下すると、サービスはこの動作を学習して通常の動作に関連付け、そのような動作に対して再度アラートを開始することはありません。

データのリカバリを開始するには、ストレージ管理者がリカバリプロセスを開始できるように、アラートをリカバリ準備完了としてマークします。

各アラートには、ステータスが異なるボリューム上に複数のインシデントが存在する可能性があるため、すべてのインシデントを確認してください。

このサービスは、アラートが発行された原因に関する_evidence_という情報を提供します。これには、次のような情報が含まれます。

  • ファイル拡張子が作成または変更された場合

  • ファイルの作成が発生し、表示された割合で増加しました。

  • ファイル削除が発生し、表示された割合で増加した

アラートは、次のタイプの動作に基づいています。

  • 攻撃の可能性:Autonomous Ransomware Protectionが新しい拡張子を検出し、過去24時間に20回以上繰り返した場合にアラートが発生します(デフォルトの動作)。

  • 警告:次の動作に基づいて警告が発生します。

    • 新しい拡張の検出はこれまでに特定されておらず、同じ動作が攻撃であると宣言するのに十分な回数繰り返されません。

    • 高エントロピーが観測される。

    • ファイルの読み取り/書き込み/名前変更/削除処理で、ベースラインを超えるアクティビティが100%急増しました。

証拠は、ONTAPの自律型ランサムウェア対策の情報に基づいています。詳細については、を参照してください "Autonomous Ransomware Protection Overview"

アラートのステータスは次のいずれかになります。

  • * 新 *

  • 非アクティブ

アラートインシデントは、次のいずれかの状態に分類されます。

  • 新規:すべてのインシデントは、最初に識別されたときに「新規」とマークされます。

  • 却下:アクティビティがランサムウェア攻撃ではないと疑われる場合は、ステータスを「却下」に変更できます。

    注意 攻撃を却下した後は、これを元に戻すことはできません。ワークロードを却下すると、ランサムウェア攻撃の可能性に応じて自動的に作成されたすべてのSnapshotコピーが完全に削除されます。

  • 却下:インシデントは却下中です。

  • 解決済み:インシデントが軽減されました。

アラートを表示します

アラートには、BlueXPランサムウェア対策ダッシュボードまたは*[アラート]*タブからアクセスできます。

手順

  1. BlueXPランサムウェア対策ダッシュボードで、[Alerts]ペインを確認します。

  2. いずれかの彫像の下にある*すべて表示*を選択します。

  3. アラートをクリックすると、各アラートの各ボリュームのすべてのインシデントを確認できます。

  4. その他のアラートを確認するには、左上のパンくずリストにある* Alert *をクリックします。

  5. [Alerts]ページでアラートを確認します。

    "[Alertsページ"]

  6. 次へ:

ランサムウェアのインシデントをリカバリ準備完了としてマーク(インシデントが無力化された後)

攻撃を軽減し、ワークロードをリカバリできる状態になったら、ストレージ管理チームにデータのリカバリ準備ができていることを伝え、リカバリプロセスを開始できるようにします。

手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

    "[Alertsページ"]

  2. [アラート]ページで、アラートを選択します。

  3. アラートのインシデントを確認します。

    アラートインシデントページ

  4. インシデントをリカバリする準備ができていると判断した場合は、*[リストアが必要であることをマークする]*を選択します。

  5. 操作を確認し、*[リストアが必要なマークを付ける]*を選択します。

  6. ワークロードのリカバリを開始するには、メッセージで*ワークロードを選択するか、[リカバリ]*タブを選択します。

結果

アラートがリストア対象としてマークされると、アラートは[Alerts]タブから[Recovery]タブに移動します。

攻撃の可能性がないインシデントを却下する

インシデントを確認したら、インシデントが潜在的な攻撃かどうかを判断する必要があります。そうでない場合は、それらを却下することができます。

誤検出を却下することも、データをすぐに回復することもできます。アラートを却下すると、サービスはこの動作を学習して通常の動作に関連付け、そのような動作に対して再度アラートを開始することはありません。

ワークロードを却下すると、ランサムウェア攻撃の可能性に応じて自動的に作成されたすべてのSnapshotコピーが完全に削除されます。

注意 アラートを却下すると、そのステータスを他のステータスに戻すことはできず、この変更を元に戻すこともできません。
手順

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

    "[Alertsページ"]

  2. [アラート]ページで、アラートを選択します。

    アラートインシデントページ

  3. 1つ以上のインシデントを選択します。または、テーブルの左上にある[インシデントID]ボックスを選択して、すべてのインシデントを選択します。

  4. インシデントが脅威ではないと判断した場合は、誤検出として却下します。

    • インシデントを1つ選択した場合は、を選択します。 右側のアイコンで、[ステータスの編集]*を選択します。

    • 複数のインシデントを選択した場合は、テーブルの上にある*ステータスを編集*ボタンを選択します。

      "[Alert Edit Statusページ"]

  5. [ステータスの編集]ボックスで、*[却下]*ステータスを選択します。

    ワークロードと削除するSnapshotコピーに関する追加情報が表示されます。

  6. [ 保存( Save ) ] を選択します。

    インシデントのステータスが「却下」に変わります。

影響を受けるファイルのリストを表示する

アプリケーションワークロードをファイルレベルでリストアする前に、影響を受けるファイルのリストを表示できます。[アラート]ページにアクセスして、影響を受けるファイルのリストをダウンロードできます。次に、[Recovery]ページを使用してリストをアップロードし、復元するファイルを選択します。

手順

[アラート]ページを使用して、影響を受けるファイルのリストを取得します。

ヒント ボリュームに複数のアラートがある場合は、各アラートの影響を受けるファイルのCSVリストのダウンロードが必要になることがあります。

  1. BlueXPのランサムウェア対策メニューから、*アラート*を選択します。

  2. [アラート]ページで、ワークロードで結果をソートして、リストアするアプリケーションワークロードのアラートを表示します。

  3. そのワークロードのアラートのリストからアラートを選択します。

  4. そのアラートでは、インシデントを1つ選択します。

    特定のアラートの影響を受けるファイルのリスト

  5. そのインシデントのダウンロードアイコンを選択し、影響を受けるファイルのリストをCSV形式でダウンロードします。